הדף הזה רלוונטי ל-Apigee ול-Apigee Hybrid.
לעיון במסמכי התיעוד של
Apigee Edge
שגיאת Istio 404 (לא נמצא)
ניפוי באגים של שגיאה 404 (לא נמצא) ב-Istio יכול להיות מתסכל. אני מקווה שהמידע הזה יעזור לך להתחיל לעקוב אחרי המקומות שבהם יכולות להיות בעיות.
התנגשות בשער עם תו כללי
יכולה להיות רק הגדרת שער אחת שמשתמשת בתו כללי לחיפוש '*' כערך של המארחים. אם פרסתם משהו אחר שכולל שער עם תו כללי, שיחות של לקוחות ייכשלו עם סטטוס 404.
דוגמה:
$ istioctl get gateways GATEWAY NAME HOSTS NAMESPACE AGE bookinfo-gateway * default 20s httpbin-gateway * default 3s
אם כן, תצטרכו למחוק או לשנות אחת מההגדרות של שערים שמתנגשים.
חיפוש המיקום שבו המסלול נכשל
Istio הוא כמו בצל (או אולי כמו ענק), יש לו שכבות. דרך שיטתית לניפוי באגים של שגיאת 404 היא להתחיל מהיעד ולעבוד החוצה.
עומס העבודה של הקצה העורפי
מוודאים שיש לכם גישה לעומס העבודה מה-sidecar:
kubectl exec $WORKLOAD_POD -c istio-proxy -- curl localhost:80/headers
קובץ העזר החיצוני של הקצה העורפי
מגדירים את הכתובת למקרי חירום ומקבלים את כתובת ה-IP של פוד עומס העבודה.
SERVICE=httpbin.default.svc.cluster.local:80
POD_IP=$(kubectl get pod $WORKLOAD_POD -o jsonpath='{.status.podIP}')גישה לעומס העבודה דרך ה-sidecar:
kubectl exec $WORKLOAD_POD -c istio-proxy -- curl -v http://$SERVICE/headers --resolve "$SERVICE:$POD_IP"
או אם מופעל mTLS של Istio:
kubectl exec $WORKLOAD_POD -c istio-proxy -- curl -v https://$SERVICE/headers --resolve "$SERVICE:$POD_IP" --key /etc/certs/key.pem --cert /etc/certs/cert-chain.pem --cacert /etc/certs/root-cert.pem --insecure
השער (או קובץ עזר של קצה קדמי)
גישה לשירות משער הכניסה:
kubectl -n istio-system exec $GATEWAY_POD -- curl -v http://$SERVICE/header
או אם מופעל mTLS של Istio:
kubectl -n istio-system exec $GATEWAY_POD -- curl -v https://$SERVICE/headers --key /etc/certs/key.pem --cert /etc/certs/cert-chain.pem --cacert /etc/certs/root-cert.pem --insecure
ניתוח נתונים חסר
אם אתם לא רואים נתונים אנליטיים בממשק המשתמש של Analytics, יכולות להיות לכך כמה סיבות:
- יכול להיות שיהיה עיכוב של כמה דקות בקליטת הנתונים ב-Apigee
- יומן הגישה של Envoy gRPC לא הוגדר כמו שצריך
- ל-Envoy אין גישה לשירות מרוחק
- ההעלאה של שירות מרוחק נכשלת
מפתח API חסר או לא תקין לא נדחה
אם אימות מפתח ה-API לא פועל כמו שצריך, יכול להיות שהבעיה נובעת מאחת מהסיבות הבאות:
שרת proxy ישיר
בודקים את ההגדרה של ext-authz.
- חשוב לוודא שהמאזין מוגדר ליירוט.
- בודקים את ההגדרה של
ext-authz.
בקשות לא חוקיות נבדקות ומאושרות
- שירות מרוחק שהוגדר לפתיחה במקרה של כשל
- Envoy לא מוגדר לבדיקות RBAC
מידע על פתרון הבעיות האלה מופיע בנושא External Authorization במסמכי התיעוד של Envoy, וגם במידע על המאפיין failure_mode_allow. המאפיין הזה מאפשר לשנות את אופן הפעולה של המסנן במקרה של שגיאות.
חסר JWT או שהוא לא תקין, והוא לא נדחה
הסיבה הסבירה היא שהפילטר Envoy JWT לא מוגדר.
מפתח API תקין נכשל
סיבות אפשריות
- ל-Envoy אין גישה לשירות המרוחק
- פרטי הכניסה שלך לא תקפים
- מוצר API של Apigee לא מוגדר ליעד ולסביבה
שלבים לפתרון בעיות
בדיקת מוצר ה-API ב-Apigee
- האם הוא מופעל בסביבה שלכם (בדיקה לעומת ייצור)?
המוצר צריך להיות משויך לאותה סביבה של השירות המרוחק.
- האם הוא מקושר ליעד שאליו אתם ניגשים?
בודקים את הקטע Apigee remote service targets. חשוב לזכור: שם השירות חייב להיות שם מארח מלא. אם מדובר בשירות Istio, השם יהיה משהו כמו
helloworld.default.svc.cluster.localcode> – שמייצג את השירותhelloworldבמרחב השמותdefault. - האם נתיב המשאב תואם לבקשה שלך?
חשוב לזכור שנתיב כמו
/או/**יתאים לכל נתיב. אפשר גם להשתמש בתווים הכלליים לחיפוש '*' או '**' כדי למצוא התאמות. - יש לך אפליקציה למפתחים?
כדי לבדוק את המפתחות של מוצר ה-API, צריך לקשר אותו לאפליקציה למפתחים.
בדיקת הבקשה
- האם אתם מעבירים את מפתח הצרכן ב-
x-api-key headerדוגמה:
curl http://localhost/hello -H "x-api-key: wwTcvmHvQ7Dui2qwj43GlKJAOwmo"
- האם אתם משתמשים במפתח צרכן טוב?
מוודאים שהאישורים מהאפליקציה שבה אתם משתמשים אושרו למוצר ה-API שלכם.
בדיקת היומנים של השירות מרחוק
- הפעלת השירות מרחוק עם רישום ביומן ב-
debug levelמשתמשים באפשרות
-l debugבשורת הפקודה. - מנסים לגשת ליעד ובודקים את היומנים
בודקים ביומנים אם יש שורה שנראית בערך כך:
Resolve api: helloworld.default.svc.cluster.local, path: /hello, scopes: [] Selected: [helloworld] Eliminated: [helloworld2 doesn't match path: /hello]